Come riconciliare due requisiti PCI DSS nelle applicazioni: 3.3 Maschera PAN visualizzata (le prime sei e le ultime quattro cifre sono le massime numero di cifre da visualizzare), in modo tale che solo il personale con esigenze aziendali legittime possa visualizzare il PAN completo. 10.2.1 Registrare tutti i singoli accessi degli utenti ai dati dei titolari di carta
Per essere più specifici, la schermata di ricerca delle applicazioni (basata sulla ricerca degli utenti) elenca più risultati in formato tabella, tra cui PAN, nome del titolare della carta, ID commerciante ecc. Mascheriamo sempre PAN su tale tabella dei risultati e se l'utente ha bisogno di lavoro per vedere il PAN, lui / lei può cliccare sul PAN mascherato per vedere il PAN completo. Questo clic attiva il meccanismo di registrazione e possiamo vedere quale utente ha accesso a determinati PAN (quindi, conforme a PCI DSS req 10.2.1). Ovviamente, riceviamo reclami da parte degli utenti, che questo non è facile da usare perché non possono identificare immediatamente PAN di cui hanno bisogno.
Le mie domande sarebbero - quale sarebbe il tuo approccio a questo? Qualche suggerimento da migliorare?